Article Number: 000221202
OpenManage Enterpriseの移行に必要な証明書チェーンの問題のトラブルシューティング
Summary: OpenManage Enterprise管理者は、証明書チェーンのアップロード(CGEN1008およびCSEC9002)と接続検証の段階で、いくつかのエラーに遭遇することがあります。以下は、移行プロセスのこの段階でエラーが発生した場合に、OpenManage Enterprise管理者に役立つガイドです。
Article Content
Instructions
アプライアンスの移行プロセスでは、相互TLS(mTLS)を活用します。このタイプの相互認証は、デフォルトで何も信頼されないゼロ トラスト セキュリティ フレームワーク内で使用されます。
一般的なTLS交換では、サーバーはTLS証明書と公開鍵と秘密鍵のペアを保持します。クライアントはサーバー証明書を検証し、暗号化されたセッションを介した情報交換に進みます。mTLSでは、クライアントとサーバーの両方がデータの交換を開始する前に証明書を検証します。
サード パーティーの署名済み証明書を使用するOpenManage Enterpriseアプライアンスでは、移行操作を続行する前に証明書チェーンをアップロードする必要があります。証明書チェーンは、SSL/TLS証明書と認証局(CA)証明書を含む証明書の番号付きリストです。チェーンはスタンドアロン証明書で始まり、チェーン内の各証明書は、チェーン内の次の証明書によって識別されるエンティティによって署名されます。
完全な証明書チェーンが取得されたら、OpenManage Enterprise管理者は、Web UIの[アプリケーション設定]-> [セキュリティ]-[証明書]を使用してチェーンをアップロードする必要があります。
証明書が要件を満たしていない場合は、Web UIに次のいずれかのエラーが表示されます。
接続の検証時には、次の項目がチェックされます。
一般的なTLS交換では、サーバーはTLS証明書と公開鍵と秘密鍵のペアを保持します。クライアントはサーバー証明書を検証し、暗号化されたセッションを介した情報交換に進みます。mTLSでは、クライアントとサーバーの両方がデータの交換を開始する前に証明書を検証します。
サード パーティーの署名済み証明書を使用するOpenManage Enterpriseアプライアンスでは、移行操作を続行する前に証明書チェーンをアップロードする必要があります。証明書チェーンは、SSL/TLS証明書と認証局(CA)証明書を含む証明書の番号付きリストです。チェーンはスタンドアロン証明書で始まり、チェーン内の各証明書は、チェーン内の次の証明書によって識別されるエンティティによって署名されます。
- Certificate = CA署名済み証明書(スタンドアロン)
- 証明書チェーン = CA署名済み証明書 + 中間CA証明書(存在する場合) + ルートCA証明書
移行の証明書チェーン要件
- 証明書署名要求キーの一致 :証明書のアップロード中に、証明書署名要求(CSR)キーがチェックされます。OpenManage Enterpriseは、そのアプライアンスによって署名済み証明書要求(CSR)を使用して要求された証明書のアップロードのみをサポートします。この検証チェックは、アップロード時に単一のサーバー証明書と証明書チェーンの両方に対して実行されます。
- 証明書のエンコード - 証明書ファイルには Base 64 エンコードが必要です。認証局からエクスポートされた証明書を保存する場合は、Base64エンコーディングが使用されていることを確認してください。使用しない場合、証明書ファイルは無効と見なされます。
- 拡張キー使用法 証明書の検証 - サーバー認証とクライアント認証の両方でキーの使用法が有効になっていることを確認します。これは、移行がソースとターゲット間の双方向通信であり、情報交換中にどちらか一方がサーバーおよびクライアントとして機能できるためです。単一のサーバー証明書の場合は、サーバー認証のみが必要です。
- キー暗号化に対して証明書が有効になっ ています - 証明書の生成に使用する証明書テンプレートには、キー暗号化が含まれている必要があります。これにより、証明書内のキーを使用して通信を暗号化できるようになります。
- ルート証明書を含む証明書チェーン:証明書には、ルート証明書を含む完全なチェーンが含まれています。これは、ソースとターゲットの両方が信頼できることを確認するために必要です。ルート証明書は、各アプライアンスの信頼されたルート ストアに追加されます。重要:OpenManage Enterpriseは、証明書チェーン内で最大10のリード証明書をサポートします。
- Issued to and issued by - ルート証明書は、トラストアンカーとして使用され、そのトラストアンカーに対してチェーン内のすべての証明書を検証するために使用されます。証明書チェーンにルート証明書が含まれていることを確認します。
| 発行先 | 発行元 |
| OMENT(アプライアンス) | Inter-CA1 (インター CA1) |
| Inter-CA1 (インター CA1) | ルートCA |
| ルートCA | ルートCA |
証明書チェーンのアップロード操作
完全な証明書チェーンが取得されたら、OpenManage Enterprise管理者は、Web UIの[アプリケーション設定]-> [セキュリティ]-[証明書]を使用してチェーンをアップロードする必要があります。
証明書が要件を満たしていない場合は、Web UIに次のいずれかのエラーが表示されます。
- CGEN1008 - エラーが発生したため、要求を処理できません
- CSEC9002 - 指定された証明書ファイルが無効なため、証明書をアップロードできません。
CGEN1008 - エラーが発生したため、要求を処理できません。
CGEN1008 - Unable to process the request because an error occurred. Retry the operation. If the issue persists, contact your system administrator.
次のいずれかのエラー条件が満たされている場合、 CGEN1008 エラーが表示されます。
- 証明書チェーンのCSRキーが無効です
- OpenManage Enterprise Web UIからCSRを使用して証明書が生成されたことを確認します。OpenManage Enterpriseでは、CSRを使用して生成されていない証明書を同じアプライアンスからアップロードすることはできません。
- コンソール ログ バンドルにあるtomcatアプリケーション ログに次のエラーが表示されます。
./tomcat/application.log
[ERROR] 2024-01-25 11:10:34.735 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-10] SSLController - uploadNewCertificateChain():
Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["Invalid CSR key."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}
- 証明書チェーンが無効です
- ルート認証局とすべての中間認証局の証明書を証明書に含める必要があります。
- コンソール ログ バンドルにあるtomcatアプリケーション ログに次のエラーが表示されます。
./tomcat/application.log
[ERROR] 2024-01-25 11:04:56.396 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-1] SSLController - uploadNewCertificateChain():
Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["Invalid certificate chain provided."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}
- リーフ証明書に共通名が見つかりません - すべての証明書に共通名を含める必要があり、ワイルドカード(*)は含めないでください。
メモ: OpenManage Enterpriseでは、ワイルドカード(*)証明書はサポートされていません。識別名にワイルドカード(*)を使用してWeb UIからCSRを生成すると、次のエラーが生成されます。
CGEN6002 - Unable to complete the request because the input value for DistinguishedName is missing or an invalid value is entered.
- クライアントおよびサーバー認証の拡張キー使用法(EKU)がリーフ証明書に存在しない
- 証明書には、拡張キー使用のためのサーバー認証とクライアント認証の両方が含まれている必要があります。
- コンソール ログ バンドルにあるtomcatアプリケーション ログに次のエラーが表示されます。
./tomcat/application.log
[ERROR] 2024-01-25 10:56:54.175 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-17] SSLController - uploadNewCertificateChain():
Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["No Client/Server authentication EKU present in leaf certificate."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}
- 拡張キーの使用法に関する証明書の詳細を確認します。いずれかが見つからない場合は、証明書の生成に使用するテンプレートが両方で有効になっていることを確認します。
- キーの使用に関するキー暗号化がありません
- アップロードする証明書には、キーを使用するためのキー暗号化がリストされている必要があります。
- コンソール ログ バンドルにあるtomcatアプリケーション ログに次のエラーが表示されます。
./tomcat/application.log
[ERROR] 2024-01-25 11:01:01.475 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-3] SSLController - uploadNewCertificateChain():
Error uploading certificate chain: {"error":{"code":"Base.1.0.GeneralError","message":"A general error has occurred.
See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CGEN1008","RelatedProperties":[],
"Message":"Unable to process the request because an error occurred.",
"MessageArgs":["User Certificate is not a web server certificate."],
"Severity":"Critical","Resolution":"Retry the operation. If the issue persists, contact your system administrator."}]}}
- キーの使用法については、証明書の詳細を確認します。証明書の生成に使用するテンプレートで、キー暗号化が有効になっていることを確認します。
CSEC9002 - 指定された証明書ファイルが無効なため、証明書をアップロードできません。
CSEC9002 - Unable to upload the certificate because the certificate file provided is invalid. Make sure the CA certificate and private key are correct and retry the operation.
次のいずれかのエラー条件が満たされている場合、 CSEC9002 エラーが表示されます。
- サーバー証明書に欠けているキーの暗号化
- 証明書の生成に使用するテンプレートで、キー暗号化が有効になっていることを確認します。移行に証明書を使用する場合は、単一のサーバー証明書ではなく、完全な証明書チェーンがアップロードされていることを確認します。
- コンソール ログ バンドルにあるtomcatアプリケーション ログに次のエラーが表示されます。
./tomcat/application.log
[ERROR] 2024-01-29 08:03:05.200 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-3] SSLController - {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CSEC9002","RelatedProperties":[],
"Message":"Unable to upload the certificate because the certificate file provided is invalid.",
"MessageArgs":[],"Severity":"Critical","Resolution":"Make sure the CA certificate and private key are correct and retry the operation."}]}}
- 証明書ファイルに間違ったエンコーディングが含まれています
- Base64エンコーディングを使用して証明書ファイルが保存されていることを確認します。
- コンソール ログ バンドルにあるtomcatアプリケーション ログに次のエラーが表示されます。
./tomcat/application.log
[ERROR] 2024-01-29 08:03:05.200 [ajp-nio-0:0:0:0:0:0:0:1-8009-exec-3] SSLController - {"error":{"code":"Base.1.0.GeneralError",
"message":"A general error has occurred. See ExtendedInfo for more information.","@Message.ExtendedInfo":[{"MessageId":"CSEC9002","RelatedProperties":[],
"Message":"Unable to upload the certificate because the certificate file provided is invalid.",
"MessageArgs":[],"Severity":"Critical","Resolution":"Make sure the CA certificate and private key are correct and retry the operation."}]}}
移行接続の検証操作
証明書チェーンが正常にアップロードされたら、移行プロセスは次のステップであるソース コンソールとターゲット コンソール間の接続の確立に進むことができます。このステップでは、OpenManage Enterprise管理者がソース コンソールとターゲット コンソールのIPアドレスとローカル管理者の認証情報を提供します。接続の検証時には、次の項目がチェックされます。
- 発行先と発行者 - ソース証明書とターゲット証明書の間のチェーン内の認証局の名前の「発行先」と「発行元」は同じです。これらの名前が一致しない場合、ソースまたはターゲットは、同じ署名機関が証明書を発行したことを検証できません。これは、ゼロトラスト セキュリティ フレームワークに準拠するために不可欠です。
| 送信元証明書 | ターゲット証明書 | |||
| 発行先 | 発行元 | 発行先 | 発行元 | |
| OMENT-310(ソース) | Inter-CA1 (インター CA1) | <-> | OMENT-400(ターゲット) | Inter-CA1 (インター CA1) |
| Inter-CA1 (インター CA1) | ルートCA | <-> | Inter-CA1 (インター CA1) | ルートCA |
| ルートCA | ルートCA | <-> | ルートCA | ルートCA |
| 送信元証明書 | ターゲット証明書 | |||
|---|---|---|---|---|
| 発行先 | 発行元 | 発行先 | 発行元 | |
| OMENT-310(ソース) | Inter-CA1 (インター CA1) | X | OMENT-400(ターゲット) | Inter-CA2 (インター CA2) |
| Inter-CA1 (インター CA1) | ルートCA | X | Inter-CA2 (インター CA2) | ルートCA |
| ルートCA | ルートCA | <-> | ルートCA | ルートCA |
- [Validity period ] - アプライアンスの日付と時刻で証明書の有効期間を確認します。
- 最大深度 :証明書チェーンが最大深度の10個のリーフ証明書を超えていないことを確認します。
Unable to mutually authenticate and connect to the remote appliance. Please check the source and target appliances has valid certificate chain uploaded which are signed by the same CA.
証明書チェーン要件のバイパス
証明書チェーンの要件を満たすことに引き続き問題がある場合は、自己署名証明書を活用するために使用できるサポートされた方法があります。次の記事の説明に従って、バックアップとリストア機能の活用を続行します。 https://www.dell.com/support/kbdoc/en-us/000223239/openmanage-enterprise-administrators-may-run-across-several-errors-during-the-certificate-chain-upload-cgen1008-and-csec9002-report-challenges-in-procuring-a-certificate-chain-required-by-openmanage-enterprise-ome-4-0-x-for-the-migration-featur
Article Properties
Affected Product
Dell EMC OpenManage Enterprise
Last Published Date
25 Apr 2024
Version
3
Article Type
How To